что такое машинный носитель персональных данных
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Приложение 4. Правила работы с носителями персональных данных
Приложение 4
к постановлению Администрации г. Сургута
от 5 июня 2015 г. N 3833
Правила
работы с носителями персональных данных
1.2. В настоящих правилах используются следующие термины и определения:
1.3. Настоящие правила являются обязательными для всех пользователей, ведущих обработку персональных данных в информационных системах персональных данных.
2. Учет носителей персональных данных
2.1. Все находящиеся на хранении и в обращении у оператора носители персональных данных подлежат учету. Каждый носитель персональных данных, с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный регистрационный номер.
2.3. Пользователи, участвующие в обработке персональных данных, в случае необходимости получают учтенный носитель персональных данных от уполномоченной организации для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета носителей персональных данных.
2.4. По окончании работ пользователь сдает носитель персональных данных для хранения уполномоченной организации, о чем делается соответствующая запись в журнале учета.
3. Хранение носителей персональных данных
3.1. По окончании рабочего дня все носители персональных данных, содержащие персональные данные, помещаются в хранилище носителей персональных данных. Исключение составляют носители, персональные данные с которых или на которых формируются или обрабатываются в данный момент на рабочем месте.
3.2. Хранилище носителей персональных данных запирается на ключ и опечатывается, при этом доступ посторонних лиц к ключу и печати должен быть исключен.
3.3. Перед вскрытием хранилища носителей персональных данных необходимо проверить целостность печати на хранилище.
3.4. В случае обнаружения повреждений оттиска печати на хранилище, утраты печати или ключа от хранилища необходимо незамедлительно сообщить ответственному за организацию обработки персональных данных.
3.5. За сохранность конкретного носителя персональных данных отвечает пользователь, получивший этот носитель в пользование под расписку в журнале учета.
— хранение носителей персональных данных вместе с носителями открытой информации, на рабочих столах либо оставление их без присмотра или передача на хранение другим лицам;
— вынос носителей персональных данных из служебных помещений для работы с ними на дому, в гостиницах и так далее.
3.7. Командируемым работникам под их личную ответственность с письменного разрешения руководителя оператора разрешается иметь при себе в пути следования носители персональных данных.
4. Передача носителей персональных данных
4.1. Передача носителей персональных данных от одного пользователя другому производится с обязательной отметкой в журнале учета.
4.2. При отправке или передаче носителей персональных данных адресатам на носители записываются только предназначенные адресатам данные.
4.3. Вынос носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя оператора.
4.4. Передача носителей персональных данных в другие организации производится курьерской службой, а также заказными почтовыми отправлениями. При пересылке носителей персональных данных почтовыми отправлениями они должны быть помещены в дополнительный конверт.
4.5. Персональные данные запрещается передавать по каналам факсимильной связи, с использованием глобальных сетей без использования мер защиты.
5. Утрата носителей персональных данных
5.1. О фактах утраты носителей персональных данных либо разглашения содержащихся на них сведений немедленно ставится в известность ответственный за организацию обработки персональных данных.
5.2. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета носителей персональных данных.
5.3. По факту утраты носителей персональных данных проводится служебное расследование и составляется акт, который представляется ответственному за организацию обработки персональных данных, для принятия решения.
6. Уничтожение носителей персональных данных
6.1. Съемные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.
6.2. Уничтожение носителей персональных данных производится соответствующей комиссией, осуществляющей уничтожение носителей персональных данных и иной конфиденциальной информации, находящейся на программно-технических средствах ИСПДн.
6.3. Состав комиссии утверждается приказом руководителя оператора.
6.4. В состав комиссии должен входить сотрудник уполномоченной организации.
6.5. По окончании сроков хранения носители персональных данных, подлежащие уничтожению, физически уничтожаются с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя персональных данных или его сжигания. Подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске, удаляются путем многократной перезаписи файлов случайными символами.
6.6. Перед утилизацией оборудования все его компоненты, включая носители информации, например, жесткие диски, необходимо проверять, чтобы гарантировать, что персональные данные и лицензированное программное обеспечение были удалены.
6.7. Поврежденные носители могут потребовать оценки рисков, для того чтобы определить, следует ли их уничтожить или ремонтировать.
6.8. В случае допустимости повторного использования носителя формата FDD, CD-RW, DVD-RW, flash-носителей применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
6.9. По результатам уничтожения носителей персональных данных комиссией составляется и подписывается соответствующий акт об уничтожении носителей.
6.10. В течение трех дней после составления акты об уничтожении направляются комиссией на утверждение руководителю оператора.
6.11. Факт уничтожения носителей персональных данных фиксируется в журнале учета с указанием даты и номера акта уничтожения. Данный журнал является документом конфиденциального характера.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 3. Инструкция по учету, выдаче, хранению, обращению с машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными)
Приложение N 3
к правилам осуществления внутреннего
контроля соответствия обработки персональных
данных требованиям к защите персональных данных
Инструкция по учету, выдаче, хранению, обращению с
машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными)
1.1. Все машинные носители информации, предназначенные для хранения информации ограниченного использования (для служебного использования, персональных данных) подлежат обязательному учету. Каждый съемный носитель с записанной на нем информацией ограниченного доступа должен иметь этикетку, на которой указывается его уникальный учетный номер.
1.3. Машинные носители информации выдаются и принимаются по журналу учета руководителем структурного подразделения.
1.4. Машинные носители информации в обязательном порядке маркируются следующим образом:
— на компакт-дисках (DVD, CD и др.) учетный номер проставляется на лицевой стороне диска специальным маркером;
— на жестком магнитном диске учетный номер проставляется на корпусе. Жесткий магнитный диск учитывается отдельно (в случае съемной конструкции) или в составе системного блока (СБ) автоматизированного рабочего места. В случае учета в составе СБ, на корпус СБ (в удобное для просмотра место) наклеивается бирка с указанием учетного номера, типа, модели машинного носителя, его объема, серийного номера жесткого магнитного диска;
— на носителях информации типа USB Flash-носители на корпус наклеивается бирка с указанием учетного номера носителя и его серийного номера;
— на персональных идентификаторах на корпус наклеивается бирка с указанием учетного номера носителя;
— бирки не должны закрывать заводские номера машинных носителей информации
1.5. Машинные носители информации хранятся в запертом шкафу.
1.6. Пользователям запрещается:
— использовать неучтенные машинные носители информации;
— использовать неучтенные персональные идентификаторы;
— хранить съемные носители с информацией ограниченного доступа вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
— выносить съемные носители с информацией ограниченного доступа из служебных помещений для работы с ними на дому.
1.7. При отправке или передаче информации ограниченного доступа адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка информации ограниченного доступа адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей информации ограниченного доступа для непосредственной передачи адресату осуществляется только с разрешения руководителя структурного подразделения.
1.8. О фактах утраты съемных носителей, содержащих информацию ограниченного доступа, либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель структурного подразделения. На утраченные носители комиссией по организации обработки и защиты персональных данных составляется акт. Соответствующие отметки вносятся в Журнал учета магнитных, оптических и иных носителей информации.
1.9. Съемные носители информации, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с информацией ограниченного доступа осуществляется комиссией по организации обработки и защиты персональных данных. По результатам уничтожения носителей информации составляется акт.
1.10. Сотрудники и лица, выполняющие работы по договорам и контрактам, имеющие отношение к работе с информацией ограниченного доступа или персональным данным, должны быть в обязательном порядке ознакомлены под роспись с настоящей Инструкцией.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 11. Инструкция об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные информационной системы персональных данных
к приказу N 111 от 28 мая 2012 г.
Утверждаю
Начальник
Главного управления по труду и занятости
населения Тверской области
________ Исаев С.А.
«___» _______________ 20___ г.
Инструкция
об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные информационной системы персональных данных
1. Настоящая Инструкция устанавливает организацию учета, хранения и выдачи машинных носителей, содержащих персональные данные информационных систем персональных данных Главного управления по труду и занятости населения Тверской области (ИСПДн).
2. Учет, хранение и выдачу машинных носителей персональных данных осуществляют ответственные за эксплуатацию ИСПДн. Данные сотрудники несут личную ответственность за сохранность персональных данных. При увольнении сотрудника, ответственного за учет, хранение и выдачу машинных носителей персональных данных, составляется акт приема-сдачи этих документов, который утверждается Начальником Главного управления по труду и занятости населения Тверской области.
3. Организация учета машинных носителей персональных данных.
Каждый носитель должен иметь этикетку, на которой указывается его уникальный учетный номер. На несъемной части упаковки носителя ПДн указывается:
— отметка «Персональные данные»;
— дата регистрации (день, месяц, год);
— ФИО, должность, подпись сотрудника выполнившего учет.
4. Организация выдачи машинных носителей персональных данных.
Пользователи ИСПДн получают учтенный съемный носитель от уполномоченного сотрудника, для выполнения работ на конкретный срок. При получении делаются соответствующие записи в Журнале учета машинных носителей, содержащих персональные данные. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в Журнале учета машинных носителей, содержащих персональные данные.
5. Организация хранения машинных носителей персональных данных.
6. В случае утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений, немедленно ставится в известность администратор безопасности информации. Соответствующие отметки вносятся в Журнале учета машинных носителей, содержащих персональные данные.
7. Носители, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. По результатам уничтожения носителей составляется Акт уничтожения машинных носителей персональных данных.
8. При передаче средств вычислительной техники ИСПДн сторонним организациям для проведения ремонтно-восстановительных или иных работ, несъемные машинные носители изымаются из состава средств вычислительной техники.
9. Ответственность за выполнение правил эксплуатации машинных носителей персональных данных при выполнении непосредственных работ с носителями несет пользователь ИСПДн.
10. Контроль выполнения пользователями установленных правил эксплуатации машинных носителей персональных данных, осуществляет ответственный за эксплуатацию ИСПДн и администратор безопасности информации в рамках своих должностных обязанностей.
Приложение N 3. Положение о порядке учета, хранения и обращения со съемными носителями персональных данных
к приказу начальника Госадмтехнадзора
от 29 апреля 2016 г. N 35-Пр-о
Положение
о порядке учета, хранения и обращения со съемными носителями персональных данных
Действие настоящего Положения об учете съемных носителей ПДн распространяется на всех должностных лиц Госадмтехнадзора Московской области.
2. Основные термины, сокращения и определения
3. Порядок использования машинных носителей информации
3.1. Под использованием машинных носителей информации в ИС понимается их подключение к инфраструктуре ИС с целью обработки ПДн и обмена информацией между ИС и носителями информации.
3.2. В ИС допускается использование только учтенных машинных носителей информации, которые являются собственностью Госадмтехнадзора Московской области и подвергаются регулярной ревизии и контролю.
3.3. К машинным носителям ПДн предъявляются те же требования ИБ, что и для стационарных АРМ (целесообразность дополнительных мер обеспечения ИБ определяется администраторами ИС).
3.4. Машинные носители конфиденциальной информации для должностных лиц Госадмтехнадзора Московской области предоставляются по инициативе руководителей их структурных подразделений в случаях:
необходимости выполнения новым Пользователем своих должностных обязанностей;
возникновения у Пользователя производственной необходимости.
4. Порядок учета, хранения и обращения со съемными машинными носителями персональных данных
4.1. Все находящиеся на хранении и в обращении съемные машинные носители с ПДн подлежат учёту.
4.2. Каждый съемный машинный носитель ПДн должен иметь этикетку, на которой указывается его уникальный учетный номер.
4.3. Учет и выдача съемных машинных носителей ПДн осуществляются уполномоченными должностными лицами структурных подразделений Госадмтехнадзора Московской области. Факт выдачи съемного машинного носителя исполнителю фиксируется в Журнале учета машинных носителей конфиденциальной информации (приложение N 15 к Приказу) (Журнал).
4.4. Пользователи получают учтенные съемные машинные носители ПДн от уполномоченных должностных лиц структурных подразделений Госадмтехнадзора Московской области на время выполнения соответствующих работ, по окончании которых данные носители подлежат возврату. Факты выдачи и возврата съемных носителей ПДн фиксируются в Журнале.
4.5. При использовании Пользователями машинных носителей ПДн необходимо:
соблюдать требования настоящего Положения;
использовать машинные носители информации ПДн исключительно для выполнения своих служебных обязанностей;
ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения;
бережно относится к машинным носителям ПДн;
обеспечивать безопасность машинных носителей ПДн информации всеми возможными способами;
извещать администраторов ИС о фактах утраты (кражи) машинных носителей ПДн.
4.6. При использовании машинных носителей ПДн запрещается: использовать их в личных целях;
передавать их другим лицам (за исключением администраторов ИС); хранить их вместе с общедоступными данными на рабочих столах либо оставлять без присмотра или передавать на хранение другим лицам; выносить их из служебных помещений для работы на дому.
4.7. Любое взаимодействие (обработка, прием и передача информации), инициированное должностным лицом между ИС и неучтенными носителями информации, рассматривается как несанкционированное. Администратор ИС оставляет за собой право блокировать или ограничивать использование машинных носителей ПДн.
4.8. В случае выявления фактов несанкционированного и (или) нецелевого использования машинных носителей ПДн инициируется служебная проверка, проводимая комиссией, состав и полномочия которой определяется приказом Госадмтехнадзора Московской области. По результатам служебной проверки составляется акт расследования инцидента (приложение N 23) и передается руководителю структурного подразделения для принятия мер в соответствии с действующим законодательством Российской Федерации.
ГАРАНТ:
По-видимому, в предыдущем абзаце допущена опечатка. В настоящем Приказе не содержится приложение N 23
4.9. Информация, хранящаяся на машинных носителях ПДн, подлежит обязательной проверке на предмет отсутствия вредоносного программного обеспечения.
4.10. При отправке или передаче ПДн адресатам на съемные машинные носители записываются только предназначенные им данные. Отправка ПДн адресатам на съемных машинных носителях осуществляется в порядке, установленном для документов для служебного пользования.
4.11. Вынос съемных машинных носителей ПДн для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения.
4.12. В случае утраты или несанкционированного уничтожения съемных машинных носителей ПДн, а также разглашения содержащихся на них сведений, необходимо немедленно поставить в известность руководителя соответствующего структурного подразделения. По факту утраты составляется акт расследования инцидента и в журналы учета съемных носителей ПДн вносятся соответствующие отметки.
4.13. Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению.
4.14. В случае увольнения или перевода должностного лица в другое структурное подразделение предоставленные ему машинные носители ПДн необходимо сдать уполномоченному лицу своего структурного подразделения. Уполномоченное лицо должно предпринять одно из следующих мер, направленных на невозможность несанкционированного доступа хранящейся на нем защищаемой информации:
уничтожить машинные носители ПДн с составлением соответствующего акта об уничтожении;
удалить информацию, содержащуюся на машинных носителях ПДн, с помощью специального программного обеспечения сертифицированного ФСТЭК России с составлением соответствующего акта об уничтожении (очистке);
сдать в архив или перерегистрировать машинные носители ПДн на структурное подразделение и сделать соответствующую отметку в Журнале.
Пользователи и администраторы информационной системы, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством Российской Федерации.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.